Автоклуб «ВАЗ-классика»
    Главная   Форум   Чат   Фото   Гараж   Видео   Разное   Поиск  
FAQ   Поиск   Пользователи   Группы   Регистрация   Профиль   Войти и проверить личные сообщения   Вход  
Требуеться консультация в постоении сети.

 
Начать новую тему   Ответить на тему    Список форумов vaz-classic.dp.ua :: Курилка
Предыдущая тема :: Следующая тема  
Автор Сообщение
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Пн Июн 21, 2010 10:49:59     Ответить с цитатой

Товарищи, если здесь водяться админы, очень прошу помощи.
Есть вообщем вот такая сеть:


Собственно проблема в том, что на компах: AMD2x64, Marksman, Cvetok и-нет есть, а на компах: Shaytan, Rodriges -- нету.

Если с Shaytana или Rodriges-a попытаться:
ping ya.ru
То, имена ресолвяться, т.е. определяеться IP удаленного ресурса, но пакеты до него не ходят. Пишет превышен интервал ожидания ответа.

На роутере настроен роутинг через 3Г модем. Настройка осуществялась при помощи Shorewall и ДНС-кеша pdnsd. Ну и squid, установлен и настроен.

Весь моск уже себе выел, а в чем проблема -- нипанятна Sad
Посмотреть профиль Отправить личное сообщение ICQ Number
TheLeo
Виталий


Группы: 
[ Члены автоклуба ]

Репутация: 21    
Пол: Пол:Мужской
Зарегистрирован: 16.03.2007
ЛевВозраст: 43

Сообщения: 2080
Откуда: Днепропетровск

1983 ВАЗ 2121 Нива

СообщениеДобавлено: Пн Июн 21, 2010 11:13:16     Ответить с цитатой

PALOMINO
сделай tracert с тех компов где не работает
AP1? AP2 я так понял wi-fi?

Добавлено спустя 1 минуту 52 секунды:

Squid я так понял как транспарент настроен?

_________________


Высшая математика в жизни помогла только один раз... - когда ключи в сортир уронил... интеграл из проволоки сделал.
Посмотреть профиль Отправить личное сообщение ICQ Number
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Пн Июн 21, 2010 11:18:02     Ответить с цитатой

TheLeo
По WiFi: да, AP1 и AP2 это WiFi. АР1 работает в режиме AccesPoint, АР2 работает в режиме Repeater.

tracert (щас нету возможности проверить, но проверяли уже) пишет что превышен интервал. Но вечером проверю ещё.

_________________
http://www.youtube.com/watch?v=U57832Vuf7Y
http://www.stg-soft.com
Посмотреть профиль Отправить личное сообщение ICQ Number
TheLeo
Виталий


Группы: 
[ Члены автоклуба ]

Репутация: 21    
Пол: Пол:Мужской
Зарегистрирован: 16.03.2007
ЛевВозраст: 43

Сообщения: 2080
Откуда: Днепропетровск

1983 ВАЗ 2121 Нива

СообщениеДобавлено: Пн Июн 21, 2010 11:21:43     Ответить с цитатой

PALOMINO
tracert затыкается сразу? если да то смотри настройки WiFi
192.168.1.2 пингуется с этих компов?

_________________


Высшая математика в жизни помогла только один раз... - когда ключи в сортир уронил... интеграл из проволоки сделал.
Посмотреть профиль Отправить личное сообщение ICQ Number
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Пн Июн 21, 2010 11:25:27     Ответить с цитатой

TheLeo
Да, пингуеться и ДНС-кеш даже выдает им адреса удаленных ресурсов.
А вот сайты не открываються. Такое впечатление, что они уходят не на 192.168.1.2, а куда-то по другому адресу Sad

Может роутер как-то не правильно настроен?
Посмотреть профиль Отправить личное сообщение ICQ Number
TheLeo
Виталий


Группы: 
[ Члены автоклуба ]

Репутация: 21    
Пол: Пол:Мужской
Зарегистрирован: 16.03.2007
ЛевВозраст: 43

Сообщения: 2080
Откуда: Днепропетровск

1983 ВАЗ 2121 Нива

СообщениеДобавлено: Пн Июн 21, 2010 11:30:30     Ответить с цитатой

а у сквида в логах есть что про эти компы?
_________________


Высшая математика в жизни помогла только один раз... - когда ключи в сортир уронил... интеграл из проволоки сделал.
Посмотреть профиль Отправить личное сообщение ICQ Number
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Пн Июн 21, 2010 11:35:38     Ответить с цитатой

TheLeo
Smile
Чето я как-то не думал об этом Embarassed
Вечером посмотрю, логи сквида, а заодно и логи iptables.

И скрин tracerout-a сделаю.

_________________
http://www.youtube.com/watch?v=U57832Vuf7Y
http://www.stg-soft.com
Посмотреть профиль Отправить личное сообщение ICQ Number
dsu
Дима


Группы: Нет
Репутация: 31    
Пол: Пол:Мужской
Зарегистрирован: 16.08.2008
БлизнецыВозраст: 47

Сообщения: 3527


1989 ВАЗ 2106

СообщениеДобавлено: Пн Июн 21, 2010 13:56:56     Ответить с цитатой

трассу тут не надо.
пингани 1.2
если пингуется - смотри что со сквидом
если не пингуется смотри настройки вайфая
если пингуется но в логах сквида нет ничего - смотри фаирвол на 1.2

_________________
Жалюзи http://astra-d.dyndns.biz/
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Пн Июн 21, 2010 14:20:55     Ответить с цитатой

dsu
Это мысли взагали. Их я и сам какбы прекрасно понимаю...
Вот реальная ситуация:
1.2 пингуеться со всех машин.
Но в и-нет выходят только те компы, что по эту сторону Wi-Fi, а так-же те, которые подключаються к AP1, а те, что подключены к AP2, те не выходят, но имена удаленных серверов ресолвяться.

Вот с точки зрения роутера, чем могут отличаться компы, те которые до Вай-Фая и после?

На роутере, в правилах файрвола, указано, что можно пропускать в и-нет все локальные соединения. И сказано, что локальние адреса: 192.168.1.2/24 Т.е. весь диапазон: 192.168.1.0 - 192.168.1.255

_________________
http://www.youtube.com/watch?v=U57832Vuf7Y
http://www.stg-soft.com
Посмотреть профиль Отправить личное сообщение ICQ Number
dsu
Дима


Группы: Нет
Репутация: 31    
Пол: Пол:Мужской
Зарегистрирован: 16.08.2008
БлизнецыВозраст: 47

Сообщения: 3527


1989 ВАЗ 2106

СообщениеДобавлено: Пн Июн 21, 2010 16:56:08     Ответить с цитатой

192.168.1.2/24
правельнее 192.168.1.0/24 хотя в данном случае пофигу.
Что говорят логи сквида когда ты ломишься? до него вообще проходят пакеты? На вайфаях никакого фаирвола не стоит (может где-то рубится трафик по 80-у порту хотя врядли 1.2 ты же пингуешь)? Локальные компы виндовые в виндовой сети все компы (кроме шлюза) видны (это лишняя проверка правильности маршрутизации внутри сети)? Сквид как прозрачная прокся или нет настроен (попрбуй к нему обратится напрямую обратится из броузера)?
Действуй поэтапно добейся хоть какого-то ответа сквида (хоть даже запрещающего) то что ты не пингуешь или пингуешь интернет хосты - ничего не говорит web и пинг действуют по совершенно разным механизмам если у тебя задействован сквид.
если сквид никак не отвечает то поробуй создать правило
001 allow log all from 192.168.1.0/24 to me
и посмотреть поступают ли пакеты к серверу. когда ты в инет ломишься

_________________
Жалюзи http://astra-d.dyndns.biz/
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
wertyg
Ярослав


Группы: Нет
Репутация: -7    
Пол: Пол:Мужской
Зарегистрирован: 17.05.2009
КозерогВозраст: 45

Сообщения: 510
Откуда: г.Днепропетровск

1981 ВАЗ 21013

СообщениеДобавлено: Пн Июн 21, 2010 21:33:24     Ответить с цитатой

1-е ты когда схему рисуешь будь внимательней у тебя там ошибка! не может быть у всех шлюз 192,168,1,2 т.к. это адрес ПК с именем АМД2х64!

ну ладно, понятно что шлюз и сервер имён у тебя 192,168,1,1

2-е у тебя АР1 и АР2 имеют два интерфейса, один проводной, а второй - без проводной , так почему же на схеме ты приводишь только один адрес? угадать к какому интерфейсу он принадлежит сложно, да и не к чему, проблемы у тебя а не у нас.)

3-е на ПК Шайтан и Родригез инета не будет.) скажу более ПК Шайтан и Родригез не могут обмениваться данными с АМД2, Марксман и Цветок(Цветок под вопросом) т.к. АР1 работает в режиме "маршрутизатор" а это значит что адреса его интерфейсов не должны принадлежать одной сети!

каким образом у Цветок есть инет пока для меня загадка + разрешение имен. возможно АР1 работает как сервер имен и пересылает запросы на указанный на нём сервер.

кратко объясняю сетевое взаимодействие со стороны ПК Шайтан и Родригез:
определяем адрес получателя данных
если адрес принадлежит сети подключения
то формируем ARP запрос, для разрешения IP адреса в MAC адрес(такой запрос рассылается на канальном уровне) получаем в ответ MAC адрес получателя, формируем пакет на MAC адрес получателя, отправляем непосредственно получателю.
иначе передаём пакет "шлюзу"(обратим внимание что шлюз должен физически находиться в одной канальной сети! иначе передать пакет будет невозможно!)

а у тебя АР1 разрывает канальную сеть! у тебя 192,168,1,1 и ПК Шайтан и Родригез находятся в разных канальных сетях! они не способны разрешить MAC адрес шлюза, а значит и межсетевое взаимодействие невозможно.

_________________
правильно заданный вопрос - содержит половину ответа.
Посмотреть профиль Отправить личное сообщение
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Вт Июн 22, 2010 08:22:26     Ответить с цитатой

wertyg
1. Да, действительно, пробакланил. В реале, у АМД, немного другой адрес, но в данном случае, это роли не играет. Реальный адрес роутера 192.168.1.2
2. АР1 и АР2 это точки доступа Wi-Fi. И да, они имеют два интерфейса, один проводной (адрес проводного и указан). И безпроводной. Я чесно говоря не силен и вайфаях, но почемуто думал, что безпроводные интерфейсы не имеют ИП адресов, а передают SSID, к которому и подключаються клиентские компы. Так или иначе в системах веб администрирования АР, указан только проводной интерфейс, и есть возможность сменить SSID, канал, шифрование, скорость передачи, и другую лабуду, которая к делу не относиться.

3. Вся сеть приведеная на схеме работает стабильно вот уже года три. При этом все всех видят, в т.ч. и Шайтан с Родригесом, видят всех остальных. И файлы гоняються по сети туда и назад. Про игры уже писать не буду =) Более того, пока у нас не вырезали телефонный кабель (превед металистам), на стороне Родригеса и Шайтана, был установлен АДСЛ мопед, в режиме маршрутизатора, который успешно раздавал и-нет, на ВСЮ сеть, т.е. и-нет был и у АМД2х64 и у всех остальных.
На ПК Cvetok, установлена Убунта и включен Самба сервер. Он тоже видит виндовые машины, а виндовые машины видят его.

На АР, можно включить DHCP сервер, который будет раздавать ИП адреса всем, кто к ним подключаеться. DHCP -- выключен. Все больше ничего на АР включать/выключать нельзя, ну кроме режима вещания: Access Point/Repeater


dsu
Squid, установлен, как прозрачный прокси.
Правила, маршрутизации примерно такие (возможно в терминах путаюсь):
1. Все пакеты, которые ломатся в и-нет, к ним применяеться маскарадинг, и отправляються в и-нет, когда возвращаються применяеться демаскарадинг и отсылаеться компу внутри сети, который послал запрос.
2. Все пакеты, которые пришли на 80-й порт, заворачиваються на squid
3. Все пакеты, которые пришли на 53-й порт, заворачиваються на pdnsd

На самом роутере, установлен Веб-сервер Apache, и подняты два хоста:
redmine.server
site_name.server
В конфигах pdnsd, прописаны А-записи для этих хостов (192.168.1.2)

Таким образом, любой комп внутри сети, введя в браузере, например:
redmine.server -- попадет именно на роутер и будет успешно с ним работать.

По логам squid-a: домой вчера не доехал Smile
Посмотреть профиль Отправить личное сообщение ICQ Number
dsu
Дима


Группы: Нет
Репутация: 31    
Пол: Пол:Мужской
Зарегистрирован: 16.08.2008
БлизнецыВозраст: 47

Сообщения: 3527


1989 ВАЗ 2106

СообщениеДобавлено: Вт Июн 22, 2010 09:18:33     Ответить с цитатой

из всего вышесказаного могу заочно сделать заключение - что какая-то фигня с фаирволом на 1.2
попрбуй на время разрешить сквиду работать как приличный прокси и выруби фаирвол - посмотри на результат.

_________________
Жалюзи http://astra-d.dyndns.biz/
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
PALOMINO
Леха


Группы: Нет
Репутация: 3    
Пол: Пол:Мужской
Зарегистрирован: 09.12.2009
ОвенВозраст: 39

Сообщения: 444
Откуда: Днепр

1985 ВАЗ 2107

СообщениеДобавлено: Вт Июн 22, 2010 09:50:09     Ответить с цитатой

dsu
Хм, джедайскими знаниями не оболадаю конечно, но по-моему, в линухе, нету файрвола в понятии виндовс. Там есть netfilter, но он просто есть. И при помощи iptables им можно управлять, там правила фильтрации задавать, но отключить его совсе по-моему нельзя. А если и можно, то тогда маршрутизация отвалиться. Наверное. Embarassed

Воть но там одни мануалы читать на добрых пару недель. Very Happy

А есть ещё надстройка над iptables называеться shorewall вот там более понятно вроде.

Так вот может для начала попробывать отрубить squid и pdnsd, и перекидывать пакеты напрямую в и-нет... И посмотреть, что будет...
Посмотреть профиль Отправить личное сообщение ICQ Number
dsu
Дима


Группы: Нет
Репутация: 31    
Пол: Пол:Мужской
Зарегистрирован: 16.08.2008
БлизнецыВозраст: 47

Сообщения: 3527


1989 ВАЗ 2106

СообщениеДобавлено: Вт Июн 22, 2010 11:25:32     Ответить с цитатой

PALOMINO
фаирвол он и в африке фаирвол.
я с твоим линухом не знаком во фрихе это ipfw и маршрутизация к этому никакого отношения не имеет. да у тебя вырубится нат ну и фиг с ним.
во фрихе он вырубается в файле /etc/rc.conf
коментированием директивы firewall_enable="YES"

_________________
Жалюзи http://astra-d.dyndns.biz/
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов vaz-classic.dp.ua :: Курилка Часовой пояс: GMT + 2
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы